2005年2月22日(火曜日)
ココログは SSI インジェクション可能
更新: 2005年4月7日
ココログにはビジネスユースもあるということで 2件の脆弱性を届け出ていたのですが、2件とも取扱い終了となりました。
そのうちの 1件は SSI インジェクションの事例なのですが、ウェブサイト運営者はこれを脆弱性ではないと主張したようで、修正されないまま取扱い終了となっています。exec cmd は使えないようですので、大きな問題は無いといえば無いのかもしれませんが……ちょっとひっかかる感じがしますね。
まあ、ウェブサイト運営者が脆弱性でないと言うからにはテストしても問題ないでしょうし、情報を公開しても問題ないでしょう。近いうちに、どのようにしてココログに SSI がインジェクションできるのか、それで何ができるのかをまとめて書こうかなと思っています。
※なお、もう 1件の方は確かに修正されていることを確認しました。今のところニフティからのアナウンスはないみたいですが……まあ、一生アナウンスされない可能性が高いですね。
※2005-03-12 追記: 「近いうちに」と書きましたが、しばらく情報の公開を見送ります。先送りの理由は述べられませんが、お察しください。
※2005-04-07 追記: ココログには任意のファイルが置けるようになりました。SSI を含む HTML をそのまんま置けますので、もはや技も何も必要なくなっています。
- 「ココログは SSI インジェクション可能」へのコメント (2件)
Firefox IDN対応は……
Firefox、Mozillaの次回リリースでのIDN機能無効化は回避 ドメイン名をPunycodeで表示する方向に (internet.watch.impress.co.jp)……だそうで。
ということは、日本語.jp (xn--wgv71a119e.jp)なんてのは http://日本語.jp にアクセスするとアドレスバーに http://xn--wgv71a119e.jp/ と表示されることになるわけですが……これはこれで、似たような Punycode で表現されるドメインを用意されると紛らわしいような気がします。詐欺サイトを見分けるためには本物が http://xn--wgv71a119e.jp/ であることを覚えておかないといけないわけですが、無理です。
やっぱり、国際化ドメイン名は使えないという結論になってしまうのですかね。
関連する話題: セキュリティ
- 前(古い): 2005年2月21日(Monday)のえび日記
- 次(新しい): 2005年2月23日(Wednesday)のえび日記
